Bankdaten-Klau: Android-Malware ThreatLabZ kommt als Chrome-Update

Auf eine neue Android-Malware, die Bankdaten und andere private Daten stiehlt, hat jetzt Zscaler hingewiesen. Die Schadsoftware tarnt sich als Update für den Browser Chrome und wird nicht von einer einheitlichen, sondern einer ganzen Reihe unterschiedlicher URLs gehostet, die mit Namensbestandteilen wie “android-update” oder zumindest “goog” einen offiziellen Eindruck erwecken sollen. Sie sind jeweils nur kurz aktiv und werden dann, um eine URL-basierte Erkennung zu verhindern, gewechselt.

Falsche Google-Play-Kreditkartenabfrage (Bild: Zscaler)

Kriminelle versuchen, den Forschern der Zscaler ThreatLabZ zufolge, Anwendern das Paket mit dem Namen “Update_chrome.apk” unterzuschieben, indem sie sie vor einem angeblichen Virenbefall warnen. Die Malware verschafft sich – einmal installiert – Administratorrechte und schickt Bankdaten ebenso wie SMS, Anruflisten und die Browserhistorie an einen Kommandoserver.

“Die Malware kann von kompromittierten oder bösartigen Seiten kommen und mit Scareware-Taktik oder Social Engineering verteilt werden”, sagte Zscaler-Director Deepen Desai gegenüber ZDNet.com. “Das haben wir bei bösartigen Android-Applikationspaketen in letzter Zeit öfter beobachtet, dass sie Scareware-Taktiken verwenden und der User per Pop-up einen Hinweis erhält, sein Gerät sei infiziert. Das angebliche Update verspricht dann eine Säuberung des Geräts.”

Nach der Installation checkt die Schadsoftware zudem, ob Sicherheitsanwendungen installiert sind und schaltet sie nach Möglichkeit ab. Nach aktuellem Stand befinden sich darunter etwa Android-Sicherheitslösungen von Avast, Dr. Web, Eset und Kaspersky.

Loading ...

Browserhistorie, Anruflisten und SMS gehen direkt an einen Kommandoserver. Die weitere Kommunikation wird dann überwacht und Gespräche mit unbekannten Anrufern in manchen Fällen sogar beendet. Das Programm blendet einen Zscaler zufolge echt aussehenden Bezahl-Bildschirm für Google Play ein, um an die Bankdaten zu gelangen. Diese Daten werden in Form eines Screenshots an eine russische Telefonnummer geschickt.

Die Malware verhindert eine Deinstallation, indem sie dem Nutzer die Berechtigung für diesen Schritt entzieht. Die einzige reguläre Möglichkeit zur Deinstallation besteht im Zurücksetzen auf die Fabrikeinstellungen, was natürlich auch alle anderen Daten im Speicher löscht.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

View Comments

  • Kreditkarte bei Internet Transaktionen!?
    Wer ist denn noch so naiv und seinem Geld böse.???
    Ist ja noch riskanter als online Banking!
    Und hier werden sich die kriminellen Hacker, Mafiosi, Islamisten und andere Verbrecher immer mehr drauf konzentrieren!

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

20 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago